Feed Utility представляет собой консольное приложение. Его можно вызвать его из командной строки.
Синтаксис
В ОС Linux Feed Utility использует следующий синтаксис:
./kl_feed_util [options]
В ОС Windows Feed Utility использует следующий синтаксис:
kl_feed_util.exe [options]
Параметры
Доступны следующие параметры:
-h [ --help ]
Вывод справочного сообщения.
-v [ --verbose ]
Включение подробного режима.
Если включен подробный режим, Feed Utility выводит на экран подробную информацию о выполняемых действиях. Если подробный режим выключен, выводится краткая информация.
-s [ --silent ]
Включение режима подавления вывода.
Если включен режим подавления вывода, Feed Utility не выводит на экран информацию о выполняемых действиях.
-c [ --config ] arg
Задает путь к конфигурационному файлу Путь указывается в аргументе arg
.
Можно использовать как абсолютные, так и относительные пути. Если указан относительный путь, он отсчитывается относительно бинарного файла Feed Utility.
Значение по умолчанию для этого параметра — kl_feed_util.conf
. Feed Utility ищет этот файл в каталоге, в котором находится бинарный файл Feed Utility.
-d [ --download ]
Включение режима загрузки.
Если указан этот параметр, Feed Utility загружает потоки данных об угрозах, но не обрабатывает их.
Загруженные файлы располагаются в каталоге, указанном в параметре WorkDir
конфигурационного файла Feed Utility.
-u [ --unpack ]
Распаковка загруженных потоков данных об угрозах.
Если указан этот параметр, Feed Utility распаковывает потоки данных об угрозах после загрузки.
Этот параметр можно использовать только в сочетании с параметром -d
или -p
.
-p [ --processing ]
Включение режима обработки.
Если указан этот параметр, Feed Utility обрабатывает потоки данных об угрозах, но не загружает и не распаковывает их. Feed Utility не удаляет исходные файлы потоков данных об угрозах.
Feed Utility ищет потоки данных об угрозах в каталоге, указанном в параметре WorkDir
конфигурационного файла Feed Utility.
В режиме обработки Feed Utility не удаляет исходные файлы потоков данных об угрозах, расположенные в каталоге WorkDir
. В результате в этом каталоге может оказаться несколько версий одного файла потока данных об угрозах. В этом случае Feed Utility выводит в консоль сообщение об ошибке. Чтобы избежать этой ситуации, необходимо вручную удалить исходные файлы потоков данных об угрозах из каталога WorkDir
после их обработки Feed Utility.
-f [--feed] arg
Загрузка или обработка указанного потока данных об угрозах.
Имя потока данных об угрозах указывается в аргументе arg
. Это имя должно соответствовать значению параметра Name
, указанному в правилах потока данных об угрозах (Feeds
> Feed
> Name
).
Можно указать несколько потоков данных об угрозах. В этом случае названия потоков данных об угрозах разделяются точкой с запятой («;
»).
Этот параметр можно использовать с параметрами -d
и -p
.
-i [--input]
Парсинг внешнего потока данных об угрозах с преобразованием его в формат JSON в соответствии с правилами парсинга, определенными для этого потока данных об угрозах.
Имя потока данных об угрозах указывается в формате -f
.
-l [ --list ]
Выводит в консоль список потоков данных об угрозах, доступных с текущим сертификатом и информацию о том, указан ли каждый из потоков данных об угрозах в конфигурационном файле Feed Utility: строка used
в выводе означает, что поток данных об угрозах указан в конфигурационном файле, а строка unused
означает, что этот поток данных об угрозах там не указан. Поток данных об угрозах указанный в конфигурационном файле (used
), может быть как включенным, так и отключенным.
Этот параметр можно использовать в сочетании с параметром -c
или -v
.
--set-proxy username:password@host:port
Записывает указанные параметры соединения с прокси в конфигурационный файл Feed Utility. Параметры username
и password
записываются в зашифрованном виде.
Имя пользователя указывается в параметре username
, пароль — в параметре password
, а адрес и порт прокси-сервера — в параметрах host
и port
.
Если прокси-сервер не требует аутентификации, следует использовать формат --set-proxy host:port
.
--set-taxii username:password@feedname@taxii-address@collectionname
Записывает указанные параметры соединения с сервером TAXII в конфигурационный файл Feed Utility. Параметры username
и password
записываются в зашифрованном виде.
Если сервер TAXII не требует аутентификации, следует использовать формат feedname@taxii-address@collectionname
.
--set-basic-auth username:password@feedname
Записывает указанные базовые настройки аутентификации в конфигурационный файл Feed Utility. Параметры username
и password
записываются в зашифрованном виде.
Если пароль не требуется, следует использовать формат username:@feedname
.
--speedtest
Измерение средней скорости, с которой Feed Utility загружает потоки данных об угрозах с серверов «Лаборатории Касперского».
Этот параметр можно комбинировать с параметром -c
и указать путь к конфигурационному файлу, который требуется использовать.
--set-mailbox
Для подключения к почтовому серверу Feed Utility кодирует имя пользователя и пароль с помощью этого параметра.
В параметре --set-mailbox
указывается атрибут {user}:{pass}@{FeedName}
,
где:
{user}
— учетная запись пользователя для подключения к почтовому серверу.
{pass}
— пароль учетной записи пользователя для подключения к почтовому серверу.
{FeedName}
– имя потока данных об угрозах, для которого настраивается подключение.
Если в имени потока данных об угрозах есть пробел, такое имя следует заключать в кавычки.
--check-mailbox-connection
Для проверки соединения с почтовым сервером в параметре --check-mailbox-connection
следует указать атрибут {FeedName}
, где {FeedName}
— имя потока данных об угрозах, для которого требуется проверить параметры подключения.
Если в имени потока данных об угрозах есть пробел, такое имя следует заключать в кавычки.
Примеры синтаксиса
Запуск Feed Utility с параметрами по умолчанию. Feed Utility загрузит, распакует и обработает потоки данных об угрозах.
./kl_feed_util |
kl_feed_util.exe |
Запуск Feed Utility в подробном режиме с конфигурационным файлом custom_configuration.conf
, расположенным в том же каталоге, что и бинарный файл Feed Utility.
./kl_feed_util -v -c custom_configuration.conf |
kl_feed_util.exe -v -c custom_configuration.conf |
Загрузка и распаковка потоков данных об угрозах.
./kl_feed_util -d -u |
kl_feed_util.exe -d -u |
Обработка распакованных потоков данных об угрозах. В этом случае Feed Utility не загружает потоки данных об угрозах, а только ищет распакованные файлы потоков данных об угрозах и обрабатывает их.
./kl_feed_util -p |
kl_feed_util.exe -p |
Распаковка и обработка потоков данных об угрозах.
./kl_feed_util -u -p |
kl_feed_util.exe -u -p |
Загрузка, распаковка и обработка указанного потока данных об угрозах.
./kl_feed_util -f Demo_Botnet_CnC_URL_Data_Feed |
kl_feed_util.exe -f Demo_Botnet_CnC_URL_Data_Feed |
Указание параметров подключения к прокси-серверу. Эти параметры записываются в конфигурационный файл.
./kl_feed_util --set-proxy 'user:pass@proxy.example.com:3128' |
kl_feed_util.exe --set-proxy 'user:pass@proxy.example.com:3128' |
Указание параметров подключения к прокси-серверу для прокси-сервера, не требующего аутентификации. Эти параметры записываются в конфигурационный файл.
./kl_feed_util --set-proxy 'proxy.example.com:3128' |
kl_feed_util.exe --set-proxy 'proxy.example.com:3128' |
Указание параметров подключения к серверу TAXII. Эти параметры записываются в конфигурационный файл.
./kl_feed_util --set-taxii ' |
kl_feed_util.exe --set-taxii ' |
Отображение средней скорости, с которой Feed Utility загружает потоки данных об угрозах с серверов «Лаборатории Касперского».
./kl_feed_util --speedtest |
kl_feed_util.exe --speedtest |
Получение списка доступных потоков данных об угрозах с последующим сохранением этого списка в файле available_feeds.txt.
./kl_feed_util -l > available_feeds.txt |
kl_feed_util.exe -l > available_feeds.txt |